本報記者 陳寶亮 實習生 肖達明 北京報導
國家電網面向4億使用者推出的掌上電力App,如今正成為資料黑色產業鏈覬覦的物件。近日,有知情人士向21世紀經濟報導記者爆料:“掌上電力、電e寶App正在出現資料洩露,涉及使用者規模已經超過千萬級,而且部分資料可能已經流入‘黑產’,危害持續擴大。”
掌上電力系國內首批電力便民服務類App,註冊使用者可以通過該App進行電費充值、故障報修、要求應急送電、檢視停電通知等等操作。該App在2014年推出後,在北京等地區曾經推出首批試點。2016年初,該App在北京、山東、河北、浙江、安徽等10多個地區正式推廣運營。11月開始,國家電網在全國27個省(市、區)開始全面推廣掌上電力,目前已擁有接近9000萬使用者。
“2016年5月開始,國家電網各地電力公司開始規模推廣掌上電力。”“大量的資料從各地供電公司流入淘寶,然後從淘寶店鋪倒賣至黑產。”上述知情人士告訴21世紀經濟報導記者,“掌上電力開始面向消費者推廣時,淘寶上就開始出現了大量提供‘掌上電力繫結’服務的店鋪,他們給各省電力公司提供關注、註冊、繫結等服務,為各省的掌上電力迅速增加‘使用者量’。”
21世紀經濟報導記者下載掌上電力App發現,相比於普通網際網路應用,掌上電力要求使用者在使用手機、微信註冊登入之外,還需要用手機或者微訊號繫結家庭電錶的戶號、密碼,完成繫結操作之後可使用繳費、查詢等功能。
“在淘寶店鋪提供繫結服務的過程中,地方供電公司需要向淘寶店主提供消費者的客戶編號、查詢密碼,部分店鋪還要求提供詳細地址。”上述知情人士介紹,“從2016年5月開始,淘寶上這類業務非常火,有的店鋪很長一段時間內三班倒,幾天就銷量上萬筆,掙錢的同時還拿到大量資料。”
在淘寶搜尋“掌上電力”,排在首位的商家在其名為“國網電力微信戶號繫結”的寶貝評價中註明“提供戶號、位置(省-市-縣-鎮)”。
針對這一情況,12月9日,國家電網已經向淘寶官方提起投訴、舉報。
海量使用者資料外流
掌上電力、電e寶的繫結滋生出大量市場需求,一批以“掌上電力繫結”、“北京浙江山東湖北江蘇掌上電力”等為主營業務的商戶在淘寶上陸續出現。
21世紀經濟報導記者以關鍵詞“掌上電力”在淘寶搜尋,共發現180多個店鋪,21世紀經濟報導記者統計了其中銷量較高的72個商戶,進入這72個店鋪中統計相應產品的歷史銷量總計831807筆,產品中包括關注、註冊、繫結三類。
名為“劉先生誠信店”的店鋪,推出了“代做國網浙江、江蘇、江西、山東掌上電力app繫結”的兩款寶貝,歷史銷量累計5300件。店鋪工作人員告訴記者:“繫結一個戶號1.2元。”該工作人員要求記者提供戶號、密碼、詳細地址,並且表示:“這沒什麼違法的,浙江所有的供電局都在我這做業務,都提供戶號、密碼,他們一年給我十幾萬、幾十萬套。”而且,該員工並不擔心業務違規,“你們有這個任務,我們就提供這個服務。淘寶也沒說過這是違規的。”
需要指出,這家號稱一年拿到“十幾萬套戶號”的店鋪,在淘寶的排名靠後。排名首位的是一家名為“掌上電力客戶繫結”的店鋪,淘寶顯示其掌上電力類交易筆數總計17.8萬筆,而且,該店鋪“只做繫結”,“需要提供戶號、查詢密碼、省市”。
此外,一家名為“狸貓工作室”的店鋪告訴21世紀經濟報導記者:“在安徽,繫結幾萬戶的電力公司很多。”而且,該店鋪告訴21世紀經濟報導記者:“這兩天安徽、湖北的國網系統有問題,繫結比較慢。所以這兩個地方目前只接註冊,等電力公司系統好了之後再接繫結的活。”
根據多家淘寶店反饋的資訊,供電公司每戶繫結一個手機號的成本約1-1.3元,店鋪完成任務後,會返還帶有註冊手機、密碼、繫結戶號、地址的表格,供電力公司員工“登入、驗貨”。此外,還有一種“一綁五”的低成本方式,按照國家電網規定,掌上電力App允許消費者用一個手機號繫結5個戶號,“一綁五”每戶成本約0.4-0.5元。
在淘寶上,“掌上電力客戶繫結”、“江先生weixin代做業務”、“u(2810633167)”、“奇妙A工作室”、“強力網路”5個店鋪的交易筆數超過五萬。“每筆繫結交易,都可能是數百個戶號、密碼的洩露。”前述知情人士告訴21世紀經濟報導記者,“有的地方一次提供幾百個,有的嫌麻煩的一次就給店鋪18萬個戶號、密碼,全國洩露數量已經到千萬級。”
需要指出,在掌上電力App繫結戶號之後,家庭詳細地址、門牌號等關鍵資訊部分以“**”字元代替,實現脫敏。不過,數位技術人員告訴21世紀經濟報導記者:“這種遮擋並沒有意義。戶號、密碼都有,稍微一點技術手段,就可以破解這種脫敏,拿到詳細地址。”
該知情人士向21世紀經濟報導記者出示了山東某市3萬多戶號、密碼、地址的資料洩露截圖,“這只是冰山一角,這些資料現在一次就可以找到幾十萬條。”而且,“我自己家的戶號都被洩露了,我向國家電網投訴過很多次這種大規模洩露資料的情況,但石沉大海。”
或涉嫌違規
比詳細地址洩露更危險的是,這些資料如今或已經流入黑市。知情人士告訴21世紀經濟報導記者:“這些淘寶店主已經把資料轉售給他人,現在是已經成為黑產的‘一手資料’。”匹配目前已經在黑市氾濫的電商訂單、快遞資料、身份證、銀行卡資訊,“這些資料加工之後,帶來的危害難以估計,最簡單的,可以根據用電資料分析你傢什麼時候有人、什麼時候沒人,後果可想而知。”
在向國家電網投訴的同時,該人士向淘寶投訴此類涉嫌收集、倒賣使用者資料的商戶“非法經營”。但是,根據該人士提供的一張投訴編號為“1468242”的淘寶投訴單顯示,淘寶對此投訴的回應為“舉報商品違規證據不足、舉報不成立”。需要指出,此類店鋪用來繫結的大量手機號,屬於公安部、工信部一直明確重點打擊的“黑卡”,但因為淘寶上類似掌上電力等註冊、繫結服務市場的存在,“黑卡”屢禁不止。
根據2012年12月28日第十一屆全國人民代表大會常務委員會議通過的《關於加強網路資訊保護的決定》,其中第三條規定,“網路服務提供者和其他企業事業單位及其工作人員對在業務活動中收集的公民個人電子資訊必須嚴格保密,不得洩露、篡改、毀損,不得出售或者非法向他人提供”。其後,工信部頒佈《電信和網際網路個人資訊保護規定》,第二章第十條規定,“電信業務經營者、網際網路資訊服務提供者及其工作人員對在提供服務過程中收集、使用的使用者個人資訊應當嚴格保密,不得洩露、篡改或者毀損,不得出售或者非法向他人提供。”
知名IT與智慧財產權律師、中國網際網路協會信用評價中心法律顧問趙佔領認為,根據《關於加強網路資訊保護的決定》、《電信和網際網路個人資訊保護規定》,“洩露個人資訊,可以追究公司職工的民事責任、以及單位的行政責任。”
而在淘寶規則中,“虛擬賬號類商品,如支付寶、微訊號、百度錢包、翼支付、快錢錢包、QQ錢包等;提供或接收驗證碼的服務類商品;手機號碼註冊、認證類商品;代註冊賬號類商品”等商品被視為釋出涉嫌欺詐等非法用途的商品或服務。
國家電網已向淘寶舉報
21世紀經濟報導記者就上訴情況諮詢國家電網對外聯絡部,後者調查後回應記者稱:“經查證,根據目前掌握的實際情況和公司現有的技術管控手段,在推廣掌上電力、電e寶App過程中不存在洩露大量戶號、查詢密碼、詳細地址的情況。”
國家電網表示,“按照公司《資訊系統業務授權許可使用管理辦法》的要求,全網範圍內的資訊系統無批量匯出功能,無渠道可獲取批量使用者資訊。”且“公司高度重視使用者個人資訊的保護,不僅從技術手段上進行嚴密防控,在業務管理方面也實現周密管理。業務人員需簽訂安全保密協議、定期開展安全自查,並主動向公安部申請安全防護檢查。”
國家電網一直把網路安全作為重點工作,且與公安部進行多次攻防演練。2016年9月,按照公安部要求,國家電網已經開始對存在弱口令風險的使用者賬號、密碼進行批量重置,且對內部資料的使用許可權進行了嚴格規定。
國家電網相關人士回應,2016年9月之前,國家電網曾對各省掌上電力App發展情況進行排名。但9月份之後,國家電網對掌上電力發展開始明確要求“業務滲透率”,只考核“繳費業務”、“新裝業務辦理線上比例”,不對App繫結數量做要求。該人士表示:“我們肯定會嚴格審查,如果發現有違規現象,不會手軟,該上公檢法就上公檢法,嚴格處理。”
對於淘寶上提供“掌上電力繫結”業務的情況,國家電網表示:“網路上存在淘寶商家銷售相關商品的行為,對我公司的企業形象造成損害,對公司服務的客戶造成誤導,我們已向淘寶網進行舉報。”
12月9日,國家電網已經向淘寶官方提起投訴、舉報,但至12月12日下午14時,掌上電力繫結服務仍未下架,且一家名為“投票大王”的店鋪還在使用淘寶直通車服務,其宣傳圖片上宣稱“掌上電力註冊繫結、萬戶一天完成”。
12月12日15:40之後,21世紀經濟報導記者搜尋“掌上電力”,大量寶貝被下架,此前記者統計過的銷量較高的寶貝均顯示“商品過期不存在”。但是,仍然有70多個寶貝出現在搜尋結果中,而且,記者統計過的72家店鋪均未被關閉,已經有店鋪通過更改寶貝圖片、夾帶關鍵詞等方式逃避審批,上述使用淘寶直通車服務的商戶,仍然排在廣告欄的首位。21世紀經濟報導記者之前諮詢的多位店主告訴記者:“淘寶說是業務違規,給我們都下架了。但業務照做,你去拍個其他的連結。”
需要指出,手機號碼註冊、非法資訊採集等類目都屬於淘寶禁限售類別,違規者會被處以“立即刪除商品、扣12分”的處罰。但是,多位店主告訴記者“沒有扣過分”。